UTM 110 mit drei getrennten Netzen (eth0 / eth2/ eth3) einrichten

Hallo zusammen,

ich versuche gerade eine UTM 110 (aktueller Softwarestand) so einzurichten, dass sie die Interneteinwahl über eth1 (WAN) macht und an den anderen drei Netzwerkschnittstellen jeweils ein getrenntes Netz bereit stellt (eth0: 192.168.188.0/24   eth2: 192.168.168.0/24   eth3: 192.168.178.0/24).An den jeweiligen Ausgängen sollen später 3 Fritzboxen ihren Dienst verrichten. (Zum testen habe ich aktuell nur zwei FB hier und somit laufen die Tests halt nur über eth0 (LAN) und eth2 (DMZ).

Alle drei Netze habe ich bereits auf der Sophos angelegt und die passenden DHCP konfig eingerichtet. Auf der Firewall gibt es eine Regel any-any-any (nur für den Test).
Die beiden Test Fritzboxen bekommen von der Sophos auch eine IP zugewiesen und scheinen einsatzbereit zu sein.


Problem:

Endgeräte an der Fritzbox die an dem eth2(DMZ) Port angeschlossen ist kann surfen.

Endgeräte an der Fritzbox die an dem eth0(LAN) Port angeschlossen ist kann aber nicht surfen.

Ziel sollte sein, dass alle drei Netze sich untereinander nicht sehen und aber alle surfen dürfen.

Die Fritzboxen sind (bis auf den IP Bereich) gleich konfiguriert.

Ich hoffe dies ist halbwegs verständlich :-)

  • Vermutlich hast du auf der Sophos für den einen nicht funktionalen Bereich unter NAT/Maskierung die Maskierung in deinem Fall auf die Internetleitung eth1 nicht eingerichtet sondern nur für den Bereich der funktioniert?

    Wieso hängst du statt den Fritzboxen nicht einfach nur Switche an die einzelnen getrennten Ports (eth0,2,3) der Sophos und machst DHCP, Zugriffsregeln komplett über die Sophos? Wieso brauchst du da Fritzboxen bzw. einen weiteren Router hinter den einzelnen Ports?

    Gruß Steve

  • Hallo Steve,
    wie gesagt ist bei Nat und Maskierung noch nichts konfiguriert. Die Sophos ist Quasi im Auslieferungszustand (bis auf DHCP und die drei Netze).
    was sollte denn dort eingetragen werden?

    Die Fritzboxen sollen (nach der Testphase) in drei getrennten Bereichen aufgebaut werden und auch für drei getrennte Wlans zuständig sein.
    Man könnte es auch als drei getrennte Firmennetze bezeichnen mit einer Internetleitung.

  • Unter Nat/Maskierung muss es schon einen Eintrag geben, welcher auf dein externes Internet Interface maskiert?!? Diesen Eintrag am besten klonen und das andere interne Fritzbox-Netzwerk dort eintragen und ebenfalls auf das externes Internet Interface maskieren lassen.

    Ich würde statt mit Fritzboxen mit Sophos APs in den getrennten Netzwerken arbeiten oder nur einfache APs in die jeweligen Netze platzieren statt einem Router, wenn es nur um WLAN geht. Die Netztrennungen machst du ja schon an der Sophos... Das erspart dir quasi das doppelte NAT, der Router wäre überflüssig...

  • Das NAT Regeln sehe ich heute Abend mal nach und teste damit. Melde mich dann wieder.
    Die FB sind noch vorhanden und sollen nach möglichkeit weiter genutzt werden. Daher diese Konstellation. Neuanschaffung von Sophos AP's ist daher erstmal nicht angedacht.

  • Hallo Steve,
    die Probleme mit der Einwahl haben sich scheinbar mit den letzten Updates erledigt. Konnte sie leider erst heute abend testen. Die Zielfunktion ist daher jetzt erstmal gegeben.
    Aber ich hätte noch eine weitere Frage bzw. ein Problem mit dem LiveProtokoll

    1. Frage: Wie bekomme ich es hin, das ich (bei Bedarf) von Netz 1 auf Netz 2 zugreifen darf.
    2. Ich bekomme immer beim aufrufen des Live Protokolls folgende Meldung "Can't use string ("0") as a HASH ref while "strict refs" in use at /wfe/asg/modules/asg_logging.pm" Ein reboot hat leider nix gebracht. Die gespeicherten Logs sind scheinbar ok.

  • Hallo Marco,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    Thoughts...

    • My usual recommendation is for internal subnets to be in the 172.16.0.0/12 range.  Reserve 192.168.0.0/16 for public hotspots and home users.  Reserve anything in 10.0.0.0/8 for giant multinationals, ISPs, etc.
    • You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, send me your email address via private message here.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.
    • Schaue mal nach No. 1 in Rulz (last updated 2021-02-16).

    Once you find in the logs what's being blocked and why, insert here a picture of the Edit of the relevant configuration.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA